Обзор законодательства Украины в сфере информационной безопасности: Сертификация криптографии

Обзор законодательства Украины в сфере информационной безопасности. Часть 8: Сертификация криптографии

Сертификация средств криптографической защиты информации и государственная экспертиза в сфере криптографической защиты информации проводятся в порядке, определенном соответствующими нормативно-правовыми актами.

Оглавление (показать/скрыть)

Часть 1: Общий обзор законодательства Украины в сфере информационной безопасности
Часть 2: Стратегия национальной безопасности Украины
Часть 3: Персональные данные
Часть 4: Государственная тайна
Часть 5: Коммерческая тайна
Часть 6: Иные виды тайн
Часть 7: Криптография
Часть 8: Сертификация криптографии
Часть 9: Стандарты криптографической защиты
Часть 10: Техническая защита информации
Часть 11: Прослушка
Часть 12: Борьба с киберпреступностью

Основанием для начала эксплуатации таких средств криптографической защиты информации в организации (в том числе ее филиалах или региональных представительствах), которая осуществляет эксплуатацию средств криптографической защиты информации, является соответствующий акт организационно-распорядительного характера этой организации.

Приказом Администрации Госспецсвязи от 25 апреля 2007 года № 75 утверждены Правила проведения работ по сертификации средств защиты информации (далее — Правила).

Данные Правила предназначены для:

1. органов по сертификации (далее — ОС) и испытательных лабораторий (далее — ИЛ);
2. органов государственной власти, органов местного самоуправления, образованных в соответствии с законами Украины воинских формирований, предприятий, учреждений и организаций независимо от форм собственности, осуществляющих деятельность, связанную с информацией, которая является собственностью государства, или информации с ограниченным доступом, требование по защите которой установлена законом, и используют средства защиты информации;
3. предприятий, учреждений и организаций, в том числе иностранных, производящих и (или) поставляют средства защиты информации.

Основные понятия

Испытательная лаборатория — лаборатория, которая проводит технические операции, заключающиеся в определении одной или нескольких характеристик данной продукции в соответствии с установленной процедурой.

Орган по сертификации — орган, который проводит деятельность в сфере оценки соответствия.

Общее руководство сертификационной деятельностью в сфере защиты информации, организация и координация работ по сертификации осуществляются национальным органом по сертификации — Министерством экономического развития и торговли Украины, а также Государственной службой специальной связи и защиты информации Украина.

Сертификацию осуществляют исключительно ОС, которые предназначены и/или уполномоченные в установленном порядке для выполнения работ по сертификации в государственной системе сертификации и имеют соответствующую область аккредитации.

Сертификационные испытания проводят исключительно ИЛ, аккредитованные в установленном порядке на независимость и/или техническую компетентность в соответствии с требованиями ДСТУ 3412-96 или ДСТУ ISO/IEC 17025:2006.

Приказом Администрации Госспецсвязи от 23 июня 2008 года № 100 утверждено Положение о государственной экспертизе в сфере криптографической защиты информации.

Основные понятия

государственная экспертиза в сфере криптографической защиты информации (далее — экспертиза) — деятельность, целью которой является определение по результатам анализа материалов экспертных (тематических) исследований соответствия объектов экспертизы требованиям нормативных документов и (или) нормативно-правовых актов в сфере криптографической защиты информации, оценка уровня и механизмов защиты информации объектом экспертизы или научно-технического уровня объекта экспертизы, подготовка обоснованных выводов и предоставления рекомендаций для принятия решения об использовании (применения) объекта экспертизы по назначению;

экспертное заключение — документально оформленный результат экспертизы, который предоставляется Администрацией Государственной службы специальной связи и защиты информации Украины по проведенному анализу результатов экспертных исследований;

экспертные исследования — исследования и анализ конкретных свойств средств криптографической защиты информации, криптографических алгоритмов, средств, систем и комплексов специальной связи в целях проверки их соответствия требованиям нормативных документов и/или нормативно-правовых актов, оценки защищенности информации или их научно-технического уровня;

материалы экспертизы — все материалы и документы по объекту экспертизы (в том числе программы и методики проведения исследований, протоколы, отчеты и рекомендации), полученные или созданные во время ее проведения;

специализированная организация — учреждение, организация или предприятие, осуществляющее тематические исследования криптографических алгоритмов или средств криптографической защиты информации и средств специальной связи, которые предназначены для защиты информации, составляющей государственную тайну, или служебной информации;

тематические исследования — исследования по установлению соответствия средств криптографической защиты информации, криптосистем, криптографических алгоритмов, средств, систем и комплексов специальной связи, предназначенных для защиты информации, составляющей государственную тайну, или служебной информации требованиям тактико-технических заданий на их создание, нормативных документов и/или нормативно-правовых актов в сфере криптографической защиты информации, а также требованиям по защите от утечки информации по каналам побочных электромагнитных излучений и наводок.

Субъектами экспертизы являются:

• заказчики экспертизы;
• Администрация Госспецсвязи;
• экспертные учреждения;
• специализированные организации.

Объектами экспертизы являются:

• средства и методы, предназначенные для разработки, исследования, производства и испытаний средств криптографической защиты информации;
• отчеты о научных исследованиях и разработках, результаты тематических исследований, другие результаты научной и научно-технической деятельности в сфере криптографической защиты информации;
• криптографические алгоритмы и протоколы;
• алгоритмы, протоколы, средства и системы генерации, тестирования и распределения ключевых данных;
• криптографические системы, средства и оборудование КЗИ, программно-технические комплексы центров сертификации ключей, надежные средства электронной цифровой подписи;
• положения государственных и межгосударственных программ и проектов государственного значения в части, касающейся КЗИ.

Экспертиза может быть обязательной или добровольной.

Обязательной экспертизе подлежат:

• средства и методы, предназначенные для разработки, исследования, производства и испытаний средств криптографической защиты государственных информационных ресурсов или информации, требование относительно защиты которой установлено законом;
• криптографические алгоритмы и криптографические протоколы, которые планируется определить как такие, которые рекомендованы для использования или в качестве национальных стандартов;
• алгоритмы, протоколы, средства и системы генерации, тестирования и распределения ключей;
• криптосистемы, средства и оборудование криптографической защиты государственных информационных ресурсов или информации, требование относительно защиты которой установлено законом, программно-технические комплексы центров сертификации ключей, которые предусматривают аккредитацию, надежные средства электронной цифровой подписи;
• криптосистемы, средства и оборудование криптографической защиты иностранного производства, которые подлежат экспортному контролю;
• результаты тематических исследований.

Экспертиза объектов, которые не указаны данном перечне, является добровольной.

Организация экспертизы осуществляется бесплатно Администрацией Госспецсвязи. Экспертные (тематические) исследования проводят экспертные учреждения (специализированные организации) или Администрация Госспецсвязи по договорам на проведение экспертных (тематических) исследований.

Для координации и осуществления экспертизы в Администрации Госспецсвязи создается Экспертная комиссия по вопросам проведения государственной экспертизы в сфере криптографической защиты информации Госспецсвязи (далее — Экспертная комиссия).

Результаты экспертных (тематических) исследований рассматриваются Экспертной комиссией, по результатам чего Администрация Госспецсвязи выдает экспертное заключение.

Администрация Госспецсвязи осуществляет контроль над проведением экспертных исследований, а также над производством криптографических средств.

Срок действия экспертного заключения определяется с учетом криптографических качеств криптографического средства, срока действия нормативных документов, условий и предельного срока эксплуатации криптографической средства, но не более чем на 5 лет.

Согласно Закону Украины «О лицензировании определенных видов хозяйственной деятельности» лицензированию подлежит предоставление услуг в области криптографической защиты информации (кроме услуг электронной цифровой подписи), торговля криптосистемами и средствами криптографической защиты информации.

Перечень таких услуг определяется отдельно Кабинетом Министров Украины.

Постановлением Кабинета Министров Украины от 25 мая 2011 года № 543 «Об утверждении перечней услуг в области криптографической защиты информации (кроме услуг электронной цифровой подписи) и криптосистем и средств криптографической защиты информации, хозяйственная деятельность относительно которых подлежит лицензированию» утверждены:

• перечень услуг в области криптографической защиты информации (кроме услуг электронной цифровой подписи), хозяйственная деятельность по предоставлению которых подлежит лицензированию;
• перечень криптосистем и средств криптографической защиты информации, торговля которыми подлежит лицензированию.

В перечень услуг в области криптографической защиты информации включены:

• Составление конструкторской и другой технической документации к криптосистемам и средствам криптографической защиты информации.
• Монтаж (установка), настройка, техническое обслуживание (сопровождение) криптосистем и средств криптографической защиты информации.

В перечень криптосистем и средств криптографической защиты информации включены:

• Криптосистемы, комплексы, оборудование, оборудование, принадлежности, аппаратура, блоки, узлы, модули, интегральные схемы и другие средства, специально предназначенные для криптографической защиты информации, разработанные или модифицированные с применением цифровой техники, реализующих криптографические алгоритмы с длиной криптографического ключа, превышающей 56 бит для симметричных алгоритмов или 512 бит для асимметричных алгоритмов обмена (распределения) ключами, или 112 бит для алгоритмов на основе эллиптических кривых;
• Программное обеспечение, специально разработанное или модифицированное для разработки, производства или использования криптосистем и средств криптографической защиты информации, которые имеют характеристики в соответствии с позицией 1 настоящего перечня, и/или имеет характеристики или может выполнять или воспроизводить функции криптосистем и средств криптографической защиты информации в соответствии с позицией 1 этого перечня.

Данный перечень не распространяется на криптосистемы и средства криптографической защиты информации, доступные в продаже через торгово-розничную сеть без ограничений, криптографические функции которых не могут быть изменены самостоятельно пользователями, разработанных для установки пользователем самостоятельно без помощи со стороны поставщика, и техническая документация (описание примененного криптографической алгоритма, протоколов взаимодействия, интерфейсов и т.д.) которых является доступной, в частности для проверки.

Приказом Администрации Государственной службы специальной связи и защиты информации Украины от 14 октября 2014 года № 531 утверждены:

• Лицензионные условия осуществления хозяйственной деятельности по предоставлению услуг в области криптографической защиты информации (кроме услуг электронной цифровой подписи), торговли криптосистемами и средствами криптографической защиты информации (согласно перечню, который определяется Кабинетом Министров Украины);
• Порядок контроля над соблюдением Лицензионных условий осуществления хозяйственной деятельности по предоставлению услуг в области криптографической защиты информации (кроме услуг электронной цифровой подписи), торговли криптосистемами и средствами криптографической защиты информации (согласно перечню, который определяется Кабинетом Министров Украины).

Лицензионные условия устанавливают исчерпывающий перечень организационных, квалификационных и других специальных требований, обязательных для выполнения при осуществлении хозяйственной деятельности по предоставлению услуг в области криптографической защиты информации (кроме услуг электронной цифровой подписи), торговли криптосистемами и средствами криптографической защиты информации (согласно перечню, который определяется Кабинетом министров Украины).

Действия Лицензионных условий распространяется на всех субъектов хозяйствования независимо от организационно-правовой формы и формы собственности, осуществляющих деятельность или обратились с заявлением о выдаче лицензии на право осуществления хозяйственной деятельности по предоставлению услуг в области криптографической защиты информации (кроме услуг электронной цифровой подписи), торговли криптосистемами и средствами криптографической защиты информации (согласно перечню, который определяется Кабинетом Министров Украины).

Читать далее: Часть 9: Стандарты криптографической защиты